เว็บไซต์ Wordpress กว่า 2,000 เว็บติดมัลแวร์ พบใช้งานคอมเมนต์ Steam เป็นช่องทางหลัก
เว็บไซต์ Wordpress กว่า 2,000 เว็บติดมัลแวร์ พบใช้งานคอมเมนต์ Steam เป็นช่องทางหลักในการฝังมัลแวร์
จากรายงานโดยเว็บไซต์ SCWorld ได้กล่าวถึงการที่ทีมวิจัยจาก GoDaddy บริษัทผู้จัดจำหน่ายโดเมน (Domain) ยอดนิยม ได้ตรวจพบแคมเปญแพร่กระจายมัลแวร์โดยมีเป้าหมายเป็นเว็บไซต์ที่ถูกสร้างขึ้นบนแพลตฟอร์มของ Wordpress ซึ่งมีเว็บไซต์ที่ตกเป็นเหยื่อมากถึง 1,980 เว็บไซต์ทั่วโลก ซึ่งทางทีมวิจัยได้ตรวจพบแคมเปญนี้ครั้งแรกในช่วงเดือนกรกฎาคม ค.ศ. 2025 (พ.ศ. 2568) โดยจากการตรวจสอบนั้นคาดว่าตัวเว็บไซต์อาจติดมัลแวร์ในจุดเริ่มแรก (Initial Infection) ผ่านทางธีม (Theme) และ ปลั๊กอิน (Plug-In) ที่มีมัลแวร์แฝงอยู่, จากรหัสผ่านที่ถูกขโมยไปทำให้แฮกเกอร์แอบเข้ามาฝังมัลแวร์บนเว็บไซต์, หรืออาจเป็นการที่เครื่องมือที่ใช้งานอยู่บนเว็บไซต์ถูกโจมตีด้วยวิธีการแบบการโจมตีห่วงโซ่อุปทาน (Supply Chain Attacks) นำมาสู่การติดมัลแวร์ดังกล่าว
แต่ในลำดับถัดไปนี้เป็นวิธีการที่น่าสนใจคือ มัลแวร์จะทำการถอดรหัสตัวไฟล์มัลแวร์ (Payload) ที่แฝงอยู่ภายในคอมเมนต์ที่ดูไม่มีพิษมีภัยบนโพสต์ที่อยู่ภายในโปรไฟล์ผู้ใช้งานแพลตฟอร์ม Steam แพลตฟอร์มขายวิดีโอเกมสุดฮิตของเกมเมอร์ ซึ่งคอมเมนต์เหล่านั้นแท้จริงแล้วภายในมีการบรรจุสคริปท์ในรูปแบบอักขระ Unicode ที่ไม่สามารถมองเห็นได้ โดยเมื่อทำการถอดรหัสออกมาแล้ว ก็จะกลายเป็น URL สำหรับการชี้เป้า (Pointing) ไปยังสคริปท์แบบ JavaScript ของมัลแวร์ที่ฝังตัวอยู่ภายในไลบรารี (Library) ตัวหนึ่งที่แอบแฝงตัวอยู่บนเว็บไซต์ของเหยื่อหลังการติดมัลแวร์ในชั้นแรก โดยสคริปท์นี้จะทำหน้าที่การยิง (Injection) มัลแวร์ประเภทเปิดประตูหลังของระบบ (Backdoor) ลงไปยังเว็บไซต์ของเหยื่อ ซึ่งมัลแวร์ตัวนี้จะตอบสนองต่อคำขอแบบ POST Requests ที่เกี่ยวข้องกับไฟล์ Cookies สำหรับการยืนยันตัวตน (Authentication) จนทำให้มัลแวร์สามารถรับ PHP Code ที่ถูกเข้ารหัสบนพื้นฐานของ Base64 ได้ นอกจากนั้นทางทีมวิจัยยังพบว่า มัลแวร์ยังได้มีการใช้กลยุทธ์ในการหลบหลีกระบบป้องกัน ด้วยการใช้ค่าสตริง (String) มั่ว ๆ เพื่อตีรวนระบบป้องกัน (Obfuscation) และการตั้งชื่อฟังก์ชันต่าง ๆ แบบสุ่ม อีกด้วย
สำหรับผู้ดูแลเว็บไซต์ (Website Administrator) สามารถทำการป้องกันเว็บไซต์ได้ ด้วยการตรวจสอบหาค่า URL ที่เกี่ยวข้องกับ Steam Community, JavaScript ที่น่าสงสัยที่ถูกยิงมาบนเว็บไซต์, และการติดต่อสู่ภายนอก (Outbound Connection) ที่เชื่อมต่อไปยังโดเมน hello-mywordl[.]info ซึ่งถ้าตรวจพบ ทางทีมวิจัยได้แนะนำให้ทำการกู้เว็บไซต์ด้วยการใช้ข้อมูลสำรอง (Backup) ชุดล่าสุดที่ยังคงมีความปลอดภัยอยู่ในทันที
เขียนโดย Annonymus TN
5 มือถือสเปกดีแต่ไม่ค่อยได้รับความนิยมในประเทศไทย
3 คณะที่โดนรีไทร์มากที่สุดในประเทศไทย
อาหารที่คนไทยอาจรู้สึกเฉยๆ แต่มักเป็นที่ชื่นชอบของชาวต่างชาติ
ความคืบหน้าการสร้างรั้วกั้นเขตชายแดนไทย - กัมพูชา
คุณไสยมีจริงไหม ทำไมความเชื่อนี้ยังอยู่กับคนไทย
เครื่องบินโรงเรียนกระโดดร่มตกใกล้บ้านเรือนในฝรั่งเศส ดับ 11 ชีวิต
ร้อนในเกิดจากอะไร ทำไมเป็นซ้ำบ่อย
สมาร์ตวอทช์ GPS รุ่นไหนจับระยะทางแม่น เหมาะกับสายวิ่งปี 2026
10 สมาร์ทวอทช์ที่นิยมที่สุดในปี 2026
ซื้อทุเรียนยังไงให้คุ้ม เข้าใจก่อนว่าทำไมราคาถึงสูง
มิติใหม่คนเมือง! รู้จัก "ผู้ว่าฯ ชัชชาติ สมัยที่ 2" ส่องนโยบายเด็ดผ่านงานศิลปะสุดน่ารัก พัฒนาเมืองให้ยั่งยืน
ทำไมขวดซีอิ๊ว น้ำปลา มักจะมี "ปุ่มนูนเล็กๆ" อยู่ใต้ขวด?
คุณไสยมีจริงไหม ทำไมความเชื่อนี้ยังอยู่กับคนไทย
มิติใหม่คนเมือง! รู้จัก "ผู้ว่าฯ ชัชชาติ สมัยที่ 2" ส่องนโยบายเด็ดผ่านงานศิลปะสุดน่ารัก พัฒนาเมืองให้ยั่งยืน
สมาร์ตวอทช์ GPS รุ่นไหนจับระยะทางแม่น เหมาะกับสายวิ่งปี 2026
เครื่องบินโรงเรียนกระโดดร่มตกใกล้บ้านเรือนในฝรั่งเศส ดับ 11 ชีวิต
ถ้าเหมาลอตเตอรี่หมดทุกเลข จะถูกรางวัลแน่ไหม และต้องลงทุนเท่าไหร่
Platinum Arowana ราชาปลามังกรสีเงินแห่งโลกปลาสวยงาม
สุนัขฮีโร่! "สึนามิ" จากอดีตลูกสุนัขที่ถูกทิ้งกลายเป็นสุนัขค้นหาและกู้ภัย
มิติใหม่คนเมือง! รู้จัก "ผู้ว่าฯ ชัชชาติ สมัยที่ 2" ส่องนโยบายเด็ดผ่านงานศิลปะสุดน่ารัก พัฒนาเมืองให้ยั่งยืน
เครื่องบินโรงเรียนกระโดดร่มตกใกล้บ้านเรือนในฝรั่งเศส ดับ 11 ชีวิต
ชัชชาติชนะผู้ว่าฯ กทม. สมัย 2 คะแนนทิ้งห่าง สะท้อนว่าคนกรุงยังเลือก “งานที่จับต้องได้”
